Kyberválka na Ukrajině, květen 2025

V květnu se ruská kybernetická válka proti Západu dále stupňovala, zatímco reakce Západu je nekoordinovaná – Trumpova administrativa pokračuje v omezování obranných opatření.

Ruské kyberútoky 

Podle zprávy ukrajinské Státní služby speciálního spojení a ochrany informací (SSSCIP), byly nejčastějšími cíli ruských útoků v průběhu války kritická infrastruktura, vládní instituce, energetický sektor a média. Útočníci využívali techniky jako phishing, distribuci malwaru a DDoS útoky s cílem destabilizovat společnost a podkopat důvěru veřejnosti ve státní aparát. Další zpráva SSSCIP z dubna 2025 poukazuje na nárůst ruských operací ve druhé polovině roku 2024, zejména proti obrannému sektoru. Útoky byly vysoce automatizované a vyznačovaly se rostoucí koordinací mezi jednotlivými skupinami. Vedle tradičních technik jako phishing nebo malware se útočníci zaměřovali i na nové taktiky umožňující rychlé škálování útoků.

Podle ředitele Kooperativního centra excelence pro kybernetickou obranu NATO (CCDCOE) Martina Noormy se svět de facto nachází ve stavu kybernetické války. Ruští hackeři sledují dva hlavní cíle: vyvolat chaos a získat finanční zisk. Jejich činnost je koordinovaná, organizovaná a zahrnuje jak státem podporované aktéry, tak kyberkriminální skupiny, jejichž zisky jsou zpětně investovány do dalších operací.

Společnost Microsoft v květnu 2025 odhalila novou ruskou kyberšpionážní skupinu Void Blizzard, která od dubna 2024 provádí cílené útoky na vládní instituce, obranné dodavatele a technologické společnosti. Skupina zneužívá cloudové služby a využívá sofistikované techniky – spear-phishing, zneužití zranitelností, vlastní malware – k dlouhodobé infiltraci systémů a získávání citlivých dat.

Podle ázerbájdžánských úřadů stála za rozsáhlým útokem na více než deset mediálních platforem 20. února 2025 skupina APT29 (Cozy Bear), řízená ruskou zpravodajskou službou SVR. Hackeři byli podle vyšetřování skrytě přítomni v systémech až tři roky. Útok byl pravděpodobně reakcí na uzavření Ruského informačně-kulturního centra v Baku a měl charakter digitální odvety.

Ve Střední Asii vedla ruská skupina TAG-110 (částečně totožná s APT28, Fancy Bear) v lednu a únoru 2025 phishingovou kampaň proti institucím v Tádžikistánu. Podle analýzy společnosti Recorded Future využívali útočníci škodlivé Word šablony s makry, které spouštěly kód zajišťující trvalý přístup do systémů. Cílem bylo získání informací s potenciálem pro politický nátlak.

Holandské tajné služby AIVD a MIVD identifikovaly novou ruskou skupinu Laundry Bear, která cílí na evropské bezpečnostní složky a firmy vyrábějící vyspělé technologie. Motivací těchto útoků je snaha obcházet západní sankce a získat know-how důležité pro modernizaci ruského obranného průmyslu.

Skupina COLDRIVER (známá i jako Callisto, UNC4057) v roce 2025 šířila nový malware LOSTKEYS prostřednictvím techniky ClickFix. Ta zahrnovala falešné weby, které nabádaly uživatele k otevření příkazového okna PowerShell. Malware byl navržen pro krádež dat ze zařízení západních vládních institucí, think-tanků a jednotlivců napojených na Ukrajinu.

Společnost ESET odhalila operaci RoundPress vedenou skupinou APT28 (Sednit, Fancy Bear), řízenou GRU. Ta zneužívala XSS zranitelnosti ve webmailových klientech (např. Roundcube, Zimbra) ke krádeži přihlašovacích údajů, kontaktů a zpráv. Malware SpyPress rovněž obcházel dvoufázové ověření. Útoky cílily především na státní instituce v Bulharsku, Rumunsku a na Ukrajině.

Podle varování CISA a FBI vede ruská vojenská jednotka 26165 (součást GRU) kampaň proti západním logistickým a technologickým firmám, které zajišťují pomoc Ukrajině. Útočníci kompromitovali například IP kamery poblíž ukrajinsko-natovských hranic, aby monitorovali přesuny a narušili provozní bezpečnost.

Ruské dezinformace a hacktivismus

Francouzská agentura VIGINUM odhalila, že operace Storm-1516, vedená důstojníkem GRU Jurijem Chorošenským, provedla od roku 2023 minimálně 77 kampaní. Zaměřovala se na volby, geopolitické krize i události, jako byla například smrt Alexeje Navalného, a využívala falešné weby, uměle generované videoobsahy a sociální sítě k šíření lží a manipulací. Jednou z akcí Storm-1516 bylo šíření nepravdivé zprávy, že francouzský prezident Emmanuel Macron, britský premiér Keir Starmer a německý kancléř Friedrich Merz během cesty vlakem do Kyjeva konzumovali kokain. Původem této fámy byla fotografie běžného ubrousku, který byl falešně označen za sáček s drogami. Obrazové a video materiály byly upraveny pomocí generativní AI a následně šířeny ruskými médii a diplomatkou Marií Zacharovovou.

Na podobné notě se nesla kampaň jihoafrických influencerů, kteří na sociální síti X zveřejnili během dvou hodin 840 příspěvků kritizujících prezidenta Zelenského za odmítnutí třídenního příměří navrženého Ruskem na Den vítězství. Šlo o placenou kampaň, koordinovanou skrze jihoafrickou agenturu. Další kampaň na diskreditaci preziodenta Zelenského podnikl Botnet Matryoshka, napojený na GRU, před istanbulskými mírovými rozhovory. Využil falešné články stylizované jako západní tisk a fiktivní trendy na sociálních sítích k šíření narativu, že Zelenskyj je slabý a izolovaný.

Síť Pravda, známá také jako „Portal Kombat“, se zaměřila na volby v Kanadě a Austrálii. Provozovala desítky účtů na platformě VK a zveřejnila stovky příspěvků přeložených z ruských nebo krajně pravicových zdrojů, jejichž cílem bylo podkopat důvěru ve vítěze voleb. Kromě politické manipulace se předpokládá, že tyto aktivity sloužily k trénování jazykových modelů AI s prokremelským obsahem.

Součástí ruské hybridní války jsou i DDOS útoky hacktivistických aktérů. Skupina NoName057(16) v dubnu 2025 provedla DDoS útoky na weby více než dvaceti nizozemských měst a provincií. Podobně napadla rumunské weby během prezidentských voleb a britské vládní stránky v rámci kampaně proti vojenské podpoře Ukrajiny. Útoky byly zpravidla krátkodobé, ale symbolicky výrazné.

Skupina Killnet, známá z dřívějších útoků, se v roce 2025 vrátila na scénu pod novým vedením kolektivu Deanon Club. Po odchodu původních administrátorů a komercializaci operací se přeměnila na žoldnéřskou platformu nabízející útoky na zakázku. Vedlejší skupiny jako KillNet 2.0 a Just Evil pokračují v útocích motivovaných podporou ruských státních cílů.

Ruská opatření

Na vnitrostátní úrovni podniká Ruská federace další kroky ke kontrole informačního prostředí a pohybu osob. Během oslav Dne vítězství 9. května došlo k masivnímu omezení mobilního připojení v Moskvě a okolí. Kreml to odůvodnil přítomností zahraničních státníků a hrozbou útoků „nebezpečného souseda“, čímž zjevně mínil Ukrajinu.

Nový návrh zákona počítá s pokutami až do výše 5 milionů rublů pro vývojáře videoher, jejichž obsah bude označen za „protiruský“. Legislativa reaguje na obvinění, že hry slouží jako nástroj západní propagandy.

Ruská vláda rovněž navrhla povinné zavedení sledovací aplikace pro všechny cizince pobývající v Moskvě a Moskevské oblasti. Tato aplikace má shromažďovat biometrické údaje, sledovat polohu a ukládat snímky obličeje. Nedodržení povinností povede k zařazení do seznamu sledovaných osob a k deportaci.

Z hlediska regulace internetu oznámilo Ministerstvo pro digitální rozvoj, že během příštích šesti měsíců vypracuje jednotnou politiku vůči VPN, která pravděpodobně znemožní běžným uživatelům jejich používání pro obcházení cenzury.

Útoky na Rusko

Zatímco Rusko pokračuje v kyberútocích, samo čelí rostoucímu počtu incidentů na svém území. Skupina 4B1D, podporující Ukrajinu, se přihlásila k útoku na soukromou kliniku Lecardo v Čuvašsku. Útočníci získali přístup pomocí účtu ředitele, vymazali servery, zálohy a vyřadili z provozu více než 100 zařízení. Také exfiltrovali data pacientů.

20. května 2025 došlo k výpadku digitálních služeb v celém Rusku. Byly postiženy weby Federální daňové služby, zdravotnický systém EMIAS, platformy Gosključ, SBiS a další. 

Uniklé dokumenty z ruských vojenských zakázek odhalily rozsáhlou modernizaci jaderných základen v oblasti města Jasnyj na jižním Uralu. Materiály obsahují podrobnosti o infrastruktuře základen s hypersonickými střelami Avangard, včetně podzemních tunelů, bezpečnostních systémů a dokonce i jmen dodavatelů včetně západních firem.

Politika západu

Západní reakce na ruskou kybernetickou a informační hrozbu je nejednotná. Evropská unie přidala na sankční seznam 21 jednotlivců a 6 subjektů odpovědných za dezinformační kampaně, kybernetické útoky a destabilizační činnost. Sankce zahrnují zmrazení majetku, zákaz cestování a finanční restrikce.

V kontrastu k tomu zaujímá administrativa prezidenta Donalda Trumpa odlišný postoj. Výkonný příkaz č. 14149 zakazuje spolupráci federálních agentur s akademickými nebo neziskovými institucemi při omezování dezinformací, což vedlo k ukončení financování mnoha výzkumných projektů. Navrhované škrty v rozpočtu agentury CISA činí téměř půl miliardy dolarů. Administrativa tvrdí, že agentura se odchýlila od své mise a podílí se na omezování svobody projevu. Současně dochází ke změně přístupu k ofenzivním kybernetickým operacím. Podle prohlášení Alexeie Bulazela z Rady národní bezpečnosti mají být tyto operace „destigmatizovány“ a považovány za legitimní nástroj americké politiky. Nejasnosti panují ohledně údajného zastavení ofrnzivních kyberoperací proti Rusku. Zatímco Pentagon ho úplně popřel, kongresman Don Bacon uvedl, že ministerstvo obrany ho nařídilo jen na jeden den, aby podpořilo diplomatická jednání se Zelenským.

Americká vláda také čelila úniku citlivých informací v souvislosti s kompromitací izraelské společnosti TeleMessage, která vyvíjí upravené verze komunikačních aplikací. Mezi kompromitovanými daty byly zprávy amerických úřadů a dokonce i výměny poradce Mikea Waltze, jenž omylem přizval do vládní konverzace novináře.

TOMÁŠ FLÍDR, 3. 6. 2025, ANALÝZA

Líbí se vám naše činnost a chcete také podpořit pomoc Ukrajině? Prosím pošlete nám příspěvek na transparentní účet 2801169198/2010 nebo navštivte náš dobročinný eshop. Případně můžete podpořit některý z našich projektů i na platformě Donio.

Powered by Froala Editor